- 论坛徽章:
- 0
|
本帖最后由 luwenju 于 2010-09-05 18:44 编辑
作者:陆文举 http://blog.luwenju.com/
实际案例分析
某公司,由于业务要求,为了保障服务器高可用性,对服务器实现了NLB群集技术。万事有利就有弊,由于NLB群集在实际环境中一般采用多播技术,交换机同一出口下的节点均为收到大量广播,一些网络延时要求较小(如做网络电话、短信群发业务)的用户网络性能将会受到很大影响。面对这种情况我们首先想到的是子网划分或者是划为VLAN,划分子网后问题依然存在,这个时候一般只能考虑划分VLAN,但是由于IDC服务器节点上联设备几乎没有划分VLAN的,因为服务器的上联交换机一般是用户自己的,而IDC中的交换机也划有VLAN,服务器的上联交换机配置VLAN时需要配置Trunk,否则无法与上联设备进行通讯,由于机房网络拓扑环境用户自己不熟悉,所以没办法划分VLAN。难道这种情况就没办法解决了吗?答案是有的,那就是端口隔离技术.
端口隔离技术概述
端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术,用户可以将需要进行控制的端口加入到一个隔离组中,通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层数据的隔离,使用隔离技术后隔离端口之间就不会产生单播、广播和组播,病毒就不会在隔离计算机之间传播,增加了网络安全性,提高了网络性能
实际环境应用
好,下面我们来看一个端口隔离实际应用(以H3C S2126-ei交换机为例)
病因:某用户经常对外发送大量广播,造成网络性能严重下降
处方:端口隔离技术
三台服务器分为3个实际用户,分别连接交换机的
<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]interface Ethernet 1/0/1
[H3C-Ethernet1/0/1]port isolate //设置本端口为隔离端口
[H3C-Ethernet1/0/1]quit
[H3C] interface Ethernet 1/0/2
[H3C-Ethernet1/0/2]port isolate //设置本端口为隔离端口
[H3C-Ethernet1/0/2]quit
[H3C] interface Ethernet 1/0/3
[H3C-Ethernet1/0/3]port isolate //设置本端口为隔离端口
[H3C-Ethernet1/0/3]quit
[H3C]save //保存配置
[H3C]display isolate port //查询端口隔离组中的端口
[H3C-Ethernet1/0/X]undo port isolate //删除某端口下的隔离端口
注:端口隔离不同于VLAN
其它厂商品牌交换机端口隔离技术应用
华为
[Quidway]interface Ethernet1/0/1
[Quidway-Ethernet1/0/1] port-isolate enable //开启本端口隔离功能
思科
Switch(config)# interface 端口号
Switch(config-if)# switchitchport protected //开启端口保护功能
注:思科个别型号交换机采用PVLAN来实现端口保护功能
D-link
config traffic_segmentation [<portlist>] forward_list [null |<portlist>]
注:<portlist>表示指定哪个端口作为隔离端口,参数null表示没有上连端口,参数<portlist>表示上连端口 |
|
免费注册
发表于 2010-04-21 09:34
貌似不错的想法,路过¬¬
